论文摘要
随着计算机技术的发展和互联网应用的深入,各种网络攻击事件(DDOS、网络蠕虫等)对网络产生了巨大危害,如何及时发现它们并采取有效的后续相应措施己经成为计算机网络安全研究领域的一个重要课题。网络流量的突发检测作为网络安全事件检测手段之一,对快速定位导致网络流量异常的网络安全事件,具有重要意义。鉴于网络流量数据的海量、高速等特点,本文采用数据流的研究方法,首先介绍了数据流及其关键技术的研究现状,并综述了现有的突发检测算法,通过分析比较优缺点,选择基于比率的适应性聚集突发检测算法(Adaptively Detecting Aggregation Bursts in Data Streams,本文简称为ADAB算法)作为研究对象。在此基础上,给出了建立在数据流计算模型之上的三种突发的形式化定义,即突发性突发、持续性突发及变化缓慢且持续时间较长的突发,以更好地描述在真实应用环境中的流量突发特征。在研究ADAB算法的基础上,针对其不适合或不能检测出网络安全流量事件中持续性突发和变化缓慢且持续时间较长的突发的不足,提出改进的ADAB+算法。该算法基于反向直方图(Inverted Histogram)技术,能够灵活调整突发检测的时间尺度。理论分析表明,该算法误报率及空间复杂度较低,且保证了线性时间复杂度。基于ADAB+,设计了一个基于数据流的网络安全突发事件检测原型系统。系统按功能划分为三大部分,即管理机、检测机及数据库系统。管理机提供了友好的人机交互界面;通过对网络数据流按协议细分,并对细分后的数据流进行突发检测,检测机能够快速发现基于某种特定协议的网络异常行为;数据库用于记录报警结果,方便后续的查询、分析和处理等。基于NLANR追踪网络流量和模拟攻击数据,分别从查全率和查准率、时间空间复杂度等方面对ADAB+算法及突发检测原型系统进行了验证,并对各种参数设置进行了测试和分析,验证了算法的有效性以及在突发异常描述及计算效率方面的优越性。最后对研究工作进行了总结,同时分析了存在的问题,并对下一步的研究工作提出了几个发展方向,包括阈值的动态设定、选取合理的窗口大小等。